Aktualności

Ataki na użytkowników sklepów osCommerce – analiza

Data publikacji: 29/07/2011, CERT Polska

osCommerce infection

Firma Armorize poinformowała na swoim blogu o odkryciu infekcji na witrynach zasilanych przez popularny framework osCommerce. Do tej pory ilość infekcji szacuje się na ponad 300.000 (w domenie .pl: 19.000) a liczba ta stale rośnie (w porównaniu do odpowiednio: 90.000 i 400 infekcji w dniu 25.07). Hakerzy na atakowanych witrynach wstrzykują zapisy przekierowujące przeglądarkę na strony z exploitami. Jeśli przeglądarka i system użytkownika jest podatna na któryś z exploitów, dochodzi do infekcji jego komputera. W systemie operacyjnym tworzone są nowe procesy, które pobierają z Internetu resztę złośliwego oprogramowania – boty spamujące. W efekcie komputer użytkownika zamienia się w rozsyłającą spam maszynę-zombie.

Czytaj więcej

Masowa infekcja stron internetowych

Data publikacji: 27/07/2011, CERT Polska

Według wstępnych oszacowań ponad 90.000 stron internetowych (w tym niemal 400 w domenie .pl) mogło paść ofiarą masowej „infekcji” (wstrzyknięcia przekierowania iframe). Po wejściu na zainfekowaną stronę przeglądarka przekierowywana jest na inną witrynę, na której znajduje się szkodliwy skrypt JavaScript. Skrypt ten próbuje doprowadzić do przejęcia kontroli nad wykonaniem kodu na komputerze użytkownika przy wykorzystaniu następujących (zidentyfikowanych na chwilę obecną) luk:

CVE-2010-0840 – Java Trust
CVE-2010-0188 – PDF LibTiff
CVE-2010-0886 – Java SMB
CVE-2006-0003 – IE MDAC
CVE-2010-1885 – HCP

Jeśli system i oprogramowanie użytkownika jest podatne na atak, uruchamiane są na nim niezidentyfikowane programy. Złośliwy skrypt umieszczany jest na witrynach pracujących na frameworku osCommerce.

Aby zapobiec infekcji CERT Polska doradza użytkownikom wyłączenie obsługi JavaScript w przeglądarce do czasu uzyskania nowych informacji o zagrożeniu.

Jeśli posiadasz witrynę pracującą w oparciu o osCommerce, sprawdź, czy nie padła ona ofiarą ataku (np. czy w ramkach iframe nie ma odniesień do nieznanych lub dziwnych witryn).

O wynikach analizy zagrożenia będziemy informować w kolejnych komunikatach na naszym blogu.

Z wynikami wstępnej analizy można zapoznać się na blogu Armorize.

Wizualizacja ech ataków DDoS

Data publikacji: 15/07/2011, pp

viz-abstract-a

Od początku lipca w systemie ARAKIS zaobserwowaliśmy wzrost pakietów TCP wysyłanych z portu 80. Ustawione flagi (SYN i ACK) oraz wysoki port docelowy, wskazują na to, że większość jest odpowiedziami na żądanie nawiązania połączenia. Atakujący przeprowadzając ataki typu DoS (odmowa dostępu) często używają sfałszowanych adresów IP aby uniknąć zablokowania maszyn. Aby dokładniej przyjrzeć się charakterystyce analizowanego ruchu, przygotowaliśmy wizualizacje przedstawiające przepływy z portu 80/TCP otrzymywane przez nasze honeypoty.

Czytaj więcej

Ataki na konfiguracje DNS

Data publikacji: 13/07/2011, CERT Polska

padlockBez wątpienia DNS jest jedną z najważniejszych usług w internetowym ekosystemie, zarówno dla zwykłych użytkowników, firm jak i przestępców. Paradoksalnie, przezroczystość i wszechobecność DNSu powoduje, że wielu administratorów nie zdaje sobie sprawy jak poważne konsekwencje mogą nieść za sobą udane ataki na DNS.
Czytaj więcej

Uwaga na wyłudzaczy z Hong Kongu

Data publikacji: 01/07/2011, przemek

Do skrzynek pocztowych polskich internautów trafiły ostatnio maile o treści:

Od: Peter Wong Shun Tung <[...]@[...].hk>
Odpowiedz do: peter[….]@yahoo.com.hk

Witam serdecznie,

Nazywam sie Peter Wong Shun Tung z Hang Seng Bank w Hongkongu i mam do Panstwa delikatna i poufna propozycje z Hong Kongu. Chcialbym zaproponowac relacje partnerskie ktore pomoga zmienic profil pewnych funduszy (22,500,000.00 EUR). Pozwolilem sobie skontaktowac sie z Panstwem, poniewaz nie mieszkaja Panstwo w Hong Kongu. Prosze miec na uwadze, ze cala sprawa musi zostac zakonczona przed uplywem dwoch tygodni. Oczekuje na odpowiedz, o ktora uprzejmie prosze. W nastepnej wiadomosci przekaze wiecej szczegolow o sobie i o prezentowanej przeze mnie propozycji.

Pozdrawiam,
Peter Wong Shun Tung.
peter[….]@yahoo.com.hk

List wysyłany jest z chińskich serwerów. Peter Wong Shun Tung jest w rzeczywistości prezesem banku HSBC. Trudno jednak spodziewać się, żeby z prywatnego konta na Yahoo zapraszał polskich internautów do zrobienia świetnego poufnego interesu. Oczywiście, maile te są próbą wyłudzenia pieniędzy, polegającą na zaangażowaniu odbiorcy w proces rzekomego zdobycia czy przekazania ogromnych funduszy, od których ma on otrzymać znaczący procent. W trakcie okazuje się, że należy uregulować wiele opłat manipulacyjnych, które naturalnie mają zostać później zwrócone z nawiązką.

Wyłudzenia tego typu nie są niczym nowym. Są znane od wielu lat jako „przekręt nigeryjski” (od kraju, którego obywatele rozpowszechnili ten proceder), 419 scam (od numeru artykułu dotyczącego pozyskania cudzego majątku przez oszustwo w nigeryjskim kodeksie karnym) lub z angielskiego „advance-fee fraud”. Procederem tym wielokrotnie trudniły się także zorganizowane grupy przestępcze, głównie z krajów afrykańskich. Należy więc być wyjątkowo ostrożnym w ewentualnych kontaktach z przestępcami. Znane są bowiem przypadki uprowadzeń dla okupu oraz zniknięć bez śladu osób, które próbowały prowadzić grę z przestępcami.

Nowością jest pojawienie się tego rodzaju listów pisanych niemal bezbłędną polszczyzną. Z pewnością w tworzeniu treści brała udział osoba polskojęzyczna. Być może korzystano z „wynajętego” tłumacza, a może doszło do połączenia sił różnych organizacji przestępczych?

W każdym razie, stanowczo zalecamy nie odpowiadanie na podobne emaile niezależnie od proponowanej kwoty wynagrodzenia i języka, w którym list jest napisany.

Nietypowe skanowanie UDP

Data publikacji: 29/06/2011, pp

skanowanie

W zeszłym tygodniu zaobserwowaliśmy interesujący ruch sieciowy, będący efektem skanowania przeprowadzonego na dużą skalę. Skanowanie losowych adresów w celu sprawdzenia ich dostępności lub podatności na ataki nie jest niczym niezwykłym i codziennie rejestrujemy aktywność tego typu. Jednak wspomniany skan miał nietypową charakterystykę, co spowodowało, że postanowiliśmy mu się dokładniej przyjrzeć.

Czytaj więcej

Analiza hamweq – malware służącego do ataków DDoS

Data publikacji: 03/06/2011, CERT Polska

hamweq

W niniejszym opracowaniu opisane zostały działania zespołu CERT Polska związane z analizą oraz monitorowaniem aktywności komputerów zainfekowanych malware hamweq. Celem badania było poznanie mechanizmów działania, rozprzestrzeniania się oraz sposobów zarządzania opisywanym złośliwym oprogramowaniem. Dodatkowo przeprowadzona została analiza komend jaki mogą być przesłane przez botmastera do zombie.

W porównaniu z innymi programami możliwości omawianego malware są stosunkowo ubogie, a kontrola nad zainfekowanym komputerem ogranicza się jedynie do wydawania paru prostych poleceń. Służą one głównie do przeprowadzania ataków DDoS – które stanowią obecnie jedno z największych zagrożeń w sieci (ostatnio często nagłaśnianych w mediach). Hamweq został również wymieniony w raporcie bezpieczeństwa opublikowanych przez Microsoft w połowie 2010 roku jako jeden z najczęściej spotykanych złośliwych programów. Znajduje się on dokładnie na trzecim miejscu, daleko przed takimi malware jak ZeuS czy SpyEye. Ten właśnie fakt, oraz brak dostępnych szczegółowych analiz hamweq w sieci stały się głównym powodem wybrania tego malware jako przedmiotu badania.

Raport można pobrać pod adresem : https://www.cert.pl/wp-content/uploads/2011/06/201106_hamweq.pdf

Fałszywe antywirusy na Mac OS X atakują!

Data publikacji: 19/05/2011, CERT Polska

mac  os x rogue antivirus

Od początku miesiąca w Internecie zamieszczane są informacje o pojawianiu się stron podszywających się pod oprogramowanie antywirusowe dla systemów Mac OS X. Strona wyświetla listę „znalezionych” na komputerze zagrożeń oraz sugeruje instalację oprogramowania, które pozwoli na ich usunięcie. W rezultacie w systemie instalowane jest złośliwe oprogramowanie, które nakłaniania użytkownika do zakupu licencji! Nie są znane inne funkcje tego malware. Czy oznacza to początek ery złośliwego oprogramowania na komputerach Apple?

Jak się chronić ?

Czytaj więcej

Kolejny wyciek… tym razem kod źródłowy trojana ZeuS.

Data publikacji: 12/05/2011, CERT Polska

wyciek kodu zeusa

Na początku tego roku ZeuS zaatakował telefony komórkowe (czytaj więcej…). W marcu na podziemnych forach internetowych pojawiły się pogłoski na temat wystawienia kodu trojana na sprzedaż. Na początku tego tygodnia w internecie pojawiły się informacje o rzekomym wycieku kodu źródłowego. CERT Polska udało się zweryfikować tę informację oraz pobrać paczkę zawierającą kod. Źródło oprogramowania, które jeszcze parę miesięcy temu sprzedawane było za tysiące dolarów, krąży aktualnie niekontrolowane w internecie. Nie jest jak na razie znane źródło wycieku.

Przeanalizowany przez nas zestaw oznaczony jest wersją 2.0.8.9. Zawiera kompletne źródła aplikacji (trojana) oraz panelu zarządzającego. Jest to pokaźna ilość danych do analizy – kod źródłowy samej „aplikacji klienckiej” to około 950 kilobajtów kodu!

Pozyskanie takich informacji przez instytucje zajmujące się bezpieczeństwem teleinformatycznym (między innymi firmy antywirusowe) powinno zdecydowanie ułatwić walkę ze szkodnikiem. Niestety, można również spodziewać się wysypu ataków wykorzystujących szkodliwe oprogramowanie zbudowane z dostępnych źródeł – jak również pojawienie się nowych wariantów bazujących na jego kodzie.

Czytaj więcej

SECURE 2011 – Call for Speakers otwarte!

Data publikacji: 02/05/2011, CERT Polska

Secure 2011Poprzedni rok to nieustający rozwój dziedziny bezpieczeństwa teleinformatycznego. W tym czasie zespół CERT Polska otrzymał ponad 12 milionów zgłoszeń incydentów dotyczących między innymi aktywności botnetów, phishingu, ataków DDoS i spamu. Na świecie pojawiło się pierwsze zagrożenie ukierunkowane na instalacje sieci przemysłowych – robak Stuxnet, zaś ataki DDoS grupy Anonymous zaczęły stanowić zagrożenie dla rządów Państw. Przestępcy wciąż ulepszają swoje techniki działań – rok 2011 powitaliśmy nowymi atakami na konta bankowe, przeprowadzanymi poprzez infekcje telefonów komórkowych. Konferencja SECURE to unikalna okazja, aby posłuchać co maja do powiedzenia o takich wydarzeniach czołowi eksperci z dziedziny bezpieczeństwa z całego świata.

W tym roku konferencja SECURE będzie kontynuowana w udanej formie z roku poprzedniego, stawiając na międzynarodową formułę, wysoki poziom merytoryczny i aktualność poruszanych tematów. Zapewnia to swoim wieloletnim doświadczeniem organizator konferencji – działający w ramach NASK zespół CERT Polska. SECURE jest konferencją poświęconą w całości bezpieczeństwu teleinformatycznemu i adresowaną do administratorów, członków zespołów bezpieczeństwa oraz praktyków z tej dziedziny. Wśród tematów szczególny nacisk kładzie się na praktyczne rozwiązania, najnowsze trendy w przeciwdziałaniu zagrożeniom oraz istotne zagadnienia prawne. Uczestnicy mają dostęp do najnowszej wiedzy, a przez to zyskują możliwość podnoszenia swoich kwalifikacji oraz cenną wymianę doświadczeń.

SECURE 2011 odbędzie się w dniach 24-26 października, w Centrum Konferencyjnym Adgar Plaza w Warszawie. Skupiać się będzie wokół trzech głównych nurtów:
Czytaj więcej